– root@injetionsec:~#

Sistemas SCADA – Melhorar

19.06.2014 (1:11 am) – Filed under: Scada ::

Redes de controle de supervisão e aquisição de dados (SCADA) contêm computadores e software que executam tarefas críticas e proporcionam serviços essenciais na infra-estrutura crítica,são considerados infra-estruturas críticas, e em sistemas de controle em particular, necessitam de proteção contra uma variedade de ameaças virtuais que podem comprometer o funcionamento em si,são usados para monitorar os principais parâmetros do processo de produção,operações de controle dentro outros, e esses sistemas foram projetados em um ambiente com o único intuito de monitorar os processos, sem considerar os requisitos de segurança e as necessidades para protegê-los de ameaças externas,e muitos desses componentes críticos estão operando ate hoje expostos na internet com os riscos de varias falhas.

O comprometimento de redes SCADA pode causar interrupção dos serviços críticos tornando assim graves consequências  para a população.

Podemos nos perguntar : Quais são as melhores práticas para implementar para melhorar a segurança do SCADAS? Que ações devem ser tomadas para proteger esses sistemas já ativos na empresa?

Várias auditorias realizadas por pesquisadores,auditores,pentests e afins em suas infra-estruturas críticas ilustraram um cenário perigoso,demostrando uma falta de mecanismos de segurança para os vários sistemas localizados em todo o mundo.

Temos o caso do  Stuxnet um worm que apareceu por volta de 2009-2010 têm mostrado ao mundo que é possível a realização de ataques terroristas,isso aumentou a consciência de ameaças cibernéticas, e a necessidade de implementação de contra medidas adequadas para mitigar o risco a essas instalações industriais, com mecanismos de defesa praticamente ausente, os componentes do sistema SCADA são muitas vezes  lidados com pessoal com uma má formação, ou que  operam com orçamentos limitados tornando assim mais inviáveis a varias falhas,isto significa que estes tipos de dispositivos de controle são instalados em todos os lugares sem ter um devida inspeção na hora de das instalações,á também muitos sistemas implantados com as configurações de fábrica, com as configurações padrões comum a vários dispositivos.

Em um sistema SCADA, temos os controladores lógicos programáveis ​​(PLCs) que estão diretamente ligados a sensores de campo interno que fornecem dados para controlar os componentes críticos (ex.: centrífugas,turbinas),muitas vezes, as senhas padrão são codificados em placas Ethernet e esses  cartões enviam os comandos para os dispositivos, permitindo que os administradores acessar remotamente as máquinas,senhas codificadas são uma fraqueza comum construído em muitos sistemas de controle industrial, incluindo a  séries dos PLCs S7 da Siemens.

Fazendo uma pesquisa no motor de busca Shodan  encontrar varios links de modelos Schneider vulneráveis em operação,tornando isso muito alarmante,revelando assim a necessidade de ter uma mudança radical,isso tem notado e varios paises tomaram frente disso e com isso produziram recomendações para a europa e seus estados membros sobre como proteger sistemas de controle industrial,este documento descreve o estado atual da segurança do sistema de controle industrial e propõe sete recomendações para melhoria.

Imediatamente depois que o worm stuxnet explodiu  os governos e as agências de inteligência de todo o mundo solicitada avaliação da segurança da infra-estrutura crítica de seus países tomando medidas defensivas adotadas para proteger SCADAS e ICSes de ataques cibernéticos,tudo indica que as principais ameaças para sistemas de controle estão ficando cada vez mais avançadas e cada vez mais vemos operações cibernéticas realizadas por grupos de hacktivistas, e campanhas de hacking de terroristas cibernéticos e ainda mais hackers sendo  patrocinados pelo Estado,como já disse em alguns post desse blog o que é mesmo composta os sistemas SCADA veja :

  • Por  um sistema de supervisão, responsável pela aquisição de dados para as atividades de controle no processo.
  • CLPs  atuando como dispositivos de campo.
  • HMI responsável pela apresentação de dados para um operador humano normalmente temos um console que possibilitam o monitoramento e controle do processo.
  • UTRs  são dispositivos eletrônicos controlados por microprocessador que interagem os sensores para o SCADA por envio de dados de telemetria.
  • Infra-estrutura de comunicação que liga o sistema de supervisão às unidades terminais remotas.
  • Vários processos e instrumentação

9ry49er4

 

Os atacantes poderiam ter como alvo cada um dos componentes nesse figura acima e assim comprometer o processo,um  sistema de supervisão é normalmente um computador baseado em um sistema operacional comercial,com isso é possível explorar vulnerabilidades conhecidas ou vulnerabilidades 0-day, é os sistemas SCADA podem ser infectado explorando vetores de ataque através de suporte móvel (ex.: pendrives, USB,CD/DVD-ROM) ou as proprias conexões de rede.

Estabelecer e seguir uma estrutura de gerenciamento de risco mitiga esses ataques cibernéticos para as empresas,o padrão NERC deve ser seguido em cada processo:

  • Identificar os riscos
  • Implementação de controles, mitigação de riscos
  • A manutenção de níveis aceitáveis ​​através da avaliação e monitoramento

Identificação e Monitoramento de conexão a redes SCADA

Para proteger SCADAS, é essencial  identificar cada ligação à rede SCADA, avaliando o risco de exposição a ataques e implementação de todas as medidas preventivas necessárias para mitigá-los,enumerando as conexões gerais, os pontos finais de comunicação (ex.: sistema de gestão, parceiros de negócios, fornecedores), os mecanismos de autenticação implementados, protocolos adotados, a conexão, a adoção de mecanismos de criptografia, o tipo de comunicações (ex,: Ethernet, rede sem fio) e os sistemas de defesa implantados para defendê-los.

Qualquer ligação a outra rede devendo introduz riscos de segurança, especialmente para conexões de Internet,para melhorar a segurança, é necessário, em muitos casos para isolar a rede SCADA de outras conexões de rede com o uso DMZs,armazenamento de dados pode facilitar a transferência segura de dados da rede SCADA das redes empresariais.

Mapeamento de todos os ativos de rede e as ligações de comunicação digital que estão conectados tudo detalhado são essencial para identificar os ativos a fim de evitar qualquer alarme mais crítico.

Auditoria na rede documentando de forma clara e precisa e registra todas as informações sobre todos os ativos de rede é o que eles tem nos seus componentes

  • Identificador como número de série ou número da etiqueta atribuído
  • Descrição da funcionalidade
  • Localização física
  • Mecanismos de segurança física que protegem o dispositivo como cercas, armários trancados, etc
  • As conexões de rede para o dispositivo
  • Os endereços de rede MAC, IP, SCADA, tudo bem atribuído ao dispositivo
  • Interfaces físicas disponíveis tudo atribuido

Evitando o uso de configurações padrão facilmente exploráveis ​​por invasores,pentest e avaliações de vulnerabilidade para fornecer uma análise objetiva do nível de segurança de uma rede SCADA,não podemos esquecer de firewalls, sistemas de detecção de intrusão (IDSs),sistema de prevenção de intrusos (IPSs) e todos os sistemas de defesa necessárias em cada ponto de entrada,gestão de organização devem compreender e aceitar a responsabilidade pelos riscos

Proteção contra ameaças em tempo real

Ataques recentes realizados contra infraestruturas críticas são caracterizadas pelo aumento da sofisticação, um gerenciamento de patches adequado dos sistemas internos ou manter o acesso e controle de serviço,implementação de segurança entre amadas. Cada camada de defesa representa categorias de componentes do sistema, que tem de ser fortalecido:

  • Controle de Perímetro
  • Os funcionários com políticas adequadas e treinamentos de conscientização, recuperação de desastres
  • Arquitetura de Rede,adotando,firewalls, roteadores, switches, VPNs
  • Sistemas operacionais de rede como Active Directory, segurança de domínio, etc
  • Hospedar de Segurança

weifhefe

Podemos ver essas segurança em camadas na figura acima,bem galera isso e um pouco do que podemos fazer para melhorar esses sistemas SCADA que estão a cada dia sendo mais visados em ciber terrorismo,ate o próximo tópico onde tentarei explicar os recursos de segurança e controles de um ambiente SCADA, autenticação, vulnerabilidades, segurança física, administração, configuração, backups do sistema e os planos de recuperação de desastres. 😉